« テクノロジー新世紀特集 | Main | 日本内部統制研究学会のウェブページ »

2008.01.05

問題です! 手作業であっても売上高を集計することは内部統制?

 こんにちは、丸山満彦です。
・2007.12.28 内部統制評価制度では、内部統制に該当しない「自動化された会計処理手続」も評価しなければならないの?
・2007.12.23 問題です! 日々の売上をコンピュータにより自動集計(計算)するという処理はIT業務処理統制ですか?(2)
・2007.12.21 問題です! 日々の売上をコンピュータにより自動集計(計算)するという処理はIT業務処理統制ですか?
の議論もまだまだ収束していないのに、またまた問題です。。。

 
 COSO内部統制報告書で定義されている内部統制では、その構成要素として「情報と伝達」というものがあります。日本の企業会計審議会の内部統制の基準でも同じようにあるものです。
 今回は、そこに書いている「情報」と「ITへの対応」はどう違うのか?ということではなくて。。。

 情報は内部統制の構成要素のひとつということになると、情報も内部統制であると。。。

 そして、
=====
情報は、情報システムによって、識別・捕捉・処理・報告される。
=====
とあり、情報システムも内部統制であるような感じです。(これは、COSO内部統制報告書の公開草案の段階では、構成要素のひとつに情報システムが含まれていたことからも明らかでしょう。。。)

そして、つづいて
=====
 「情報システム」という用語は、購買と販売といった取引および生産プロセスといった企業内部の業務活動に関連する内部データを処理するという意味で用いられることが多い。情報システム-それは、コンピュータ化されている場合であろうとなかろうと、手作業による場合であろうと、あるいは、その両者が組み合わされている場合だろうと-は、いうまでもなく、企業内部の取引と活動を扱っている。
=====
となっています。
なお、公開草案で「情報システム」であったのが、「情報」になったのは
=====
システムという用語はデータ処理システムだけに限定されるという印象を与えるのを避けるため、「システム」という用語はもはや情報に結び付けられていない。情報(および伝達)という構成要素は、それよりも、さらに広義である。
=====
ということのようです。

ついでにいうと、COSO内部統制報告書の策定の際に大いに参考にされたはずである米国会計士協会監査基準書第55号である、「Consideration of the Internal Control Structure in a Financial Statement Audit」では、内部統制の要素(elements)を
・統制環境
・会計システム
・統制手続
の3つにしています。。。
 詳しくは
・2006.08.28 SAS No.55の内部統制の要素
 を参考にしてください。。。

ということは、、、

「手作業であっても売上高を集計すること」は内部統制に該当することになりませんかね。。。

|

« テクノロジー新世紀特集 | Main | 日本内部統制研究学会のウェブページ »

Comments

あけましておめでとうございます。

丸山先生は経理実務を経験されていないからイメージが掴めないのかと推測します。

僕が駆け出しの頃は、年配の大先輩たちは電卓ではなくソロバンで試算表を作っていました。
まだ当時の税理士試験ではソロバンの音があちこちで響いていたそうです。

暗算かソロバンか電卓かは問題ではなく。
”売上を集計して元帳に転記する行為”=”会計処理手続き”です。

そして当該行為が ”正しく行われるしくみ”=”業務処理統制”です。

”会計処理手続”も”業務処理統制”もそれぞれ

①自動で行う
②手作業で行う

方法がある、ということです。

Posted by: ソックス担当 | 2008.01.07 09:09

誰かも書いていましたが前回の議論から一貫しているのは
何のために「売上高を集計する」のかで答えが分岐する、という事が理解してもらえないようです。

例えば
自動会計処理で計上された仮受消費税が”正しいのか”チェックを行うための「売上高を集計する」行為であれば、それは手作業だろうがシステムで行おうが業務処理統制であり

仮受消費税そのものを計算する根拠として売上を集計する行為であれば、ソロバンだろうがニューロンコンピュータだろうが、それは業務処理統制です。

Posted by: ソックス担当 | 2008.01.07 09:19

間違えました
×
仮受消費税そのものを計算する根拠として売上を集計する行為であれば、ソロバンだろうがニューロンコンピュータだろうが、それは業務処理統制です。


仮受消費税そのものを計算するプロセスとして売上を集計する行為であれば、ニューロンコンピュータだろうが、それは会計処理手続きです。

Posted by: ソックス担当 | 2008.01.07 09:26

たとえが適切かわかりませんが

★ここで問いです

甲が、カッターで乙の顔を切る行為は殺人罪に該当しますか?


と聞いているようなものです。

Posted by: ソックス担当 | 2008.01.07 09:33

ソックス担当さん、コメントありがとうございます。。。
 丁寧なコメントありがとうございます。私の論点の立て方が乱暴でした。すみません。。。

 言葉の定義がずれているといけないので、COSO内部統制報告書をベースに内部統制や業務処理統制を議論することにしましょう。。。

内部統制の構成要素は
 ・統制環境
 ・リスク評価
 ・統制活動
 ・情報と伝達
 ・モニタリング

統制活動の中に
 ・IT業務処理統制
 ・IT全般統制
が含まれる。

で、今回の論点ですが。。。
=====
仮受消費税そのものを計算するプロセスとして売上を集計する行為であれば、ニューロンコンピュータだろうが、それは会計処理手続きです。
=====
ということで、内部統制ではないということがあるけど、本当にそうだろうか。。。ということをCOSOや日本の内部統制の基準をベースに考えてみようということなんです。。。

わかりにくくとすみませんでした。。。

Posted by: 丸山満彦 | 2008.01.07 14:19

丸山先生
早速のRESありがとうございます。

「甲がカーッターで乙の顔を切る」だけでは違法性が阻却される可能性もあるし・・・そもそも構成要件を満たすかどうか、所与の条件だけでは判断できない。
という点はご理解頂けたでしょうか?

そこで今回の問いは
「複数の支社別販売システムに計上された売上元帳を、担当者は手作業で合算して、財務システムに入力し、財務上の売上が確定する」
この場合の”担当者が手作業で合算する”プロセスは統制活動にあたるか?

という理解でよいですか?

Posted by: ソックス担当 | 2008.01.07 15:15

基準に記載されていますが、内部統制の基本的要素は「内部統制の目的を達成するために必要とされる構成部分」であります。
しかし情報の全てが内部統制を構成するわけではありません。(基準Ⅰ 2(4)注書き)


世の中のカッターの全てが、あらゆるシチュエーションにおいて、必ずしも凶器ではないのと同じです。

Posted by: ソックス担当 | 2008.01.07 15:35

ソックス担当さん、コメントありがとうございます。

=====
「甲がカーッターで乙の顔を切る」だけでは違法性が阻却される可能性もあるし・・・そもそも構成要件を満たすかどうか、所与の条件だけでは判断できない。
という点はご理解頂けたでしょうか?
=====
X=0 ならば XY=0であるが、
XY=0 であっても X=0とは限らない
という話ですよね。。。


=====
「複数の支社別販売システムに計上された売上元帳を、担当者は手作業で合算して、財務システムに入力し、財務上の売上が確定する」
この場合の”担当者が手作業で合算する”プロセスは統制活動にあたるか?
=====
ですが、「統制活動」にあたるかではなくて「内部統制の要素の一部であるか」ということですね。
 統制活動は内部統制の要素ですが、統制活動以外の要素に該当してもよいということになります。

Posted by: 丸山満彦 | 2008.01.08 11:07

はじめまして。FNと申します。現在、さる企業にていわゆるJ-SOXプロジェクトに携わっております。いつもこのブログを見ることを楽しみにしております。種々の情報をタイムリーに紹介して頂けるので、業務を進める上でも大変役立っています。

さて、"担当者が手作業で合算する"というプロセスですが、「情報と伝達」に該当するゆえ、内部統制の要素の一部として考えられると思います。

COSOレポートや金融庁の基準では、以下の記述があります。

「情報は、情報システムによって、識別・補足・処理・報告される」(『内部統制の統合的枠組み 理論編』98頁)

「情報システム -それは、コンピュータ化されている場合であろうと、手作業による場合であろうと、あるいは、その両者が組み合わされている場合であろうと- は、いうまでもなく、企業内部の取引と活動を扱っている」(同上、99頁)

「情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することをいう」(基準Ⅰ 2-(4))

売上は、財務報告において重要な情報の一つです。手作業とはいえ、担当者が売上を合算するのは、その重要な情報を「識別・補足・処理」する行為に相当します。 

よって、担当者が売上を手作業で合算することは、内部統制の要素のうち、「情報と伝達」に該当するものと考えます。

Posted by: FN | 2008.01.09 11:02

FNさん、コメントありがとうございます。
=====
売上は、財務報告において重要な情報の一つです。手作業とはいえ、担当者が売上を合算するのは、その重要な情報を「識別・補足・処理」する行為に相当します。 
=====
ということで、会計処理をする行為が、ITを利用するか、手作業であるかにかかわらず内部統制に該当するのであれば、評価の対象にしないといけないことになりますよね。。。

Posted by: 丸山満彦 | 2008.01.10 07:48

おはようございます。
とてもプリミティヴな議論で勉強になります。
このような根本的なところでさえ食い違いがあるということが、内部統制報告制度の混乱を象徴していると思います。

さて、そもそも
内部統制の定義は「・・・4つの目的が達成されているとの合理的保証を得るために・・・遂行されるプロセスをいい。・・6つの基本的要素から構成される」(基準Ⅰ-1柱書き)
です。

そして、4つの目的のうち金商取引法24条の4の4で直接求められているのが財務報告の信頼性であります。

ここで「財務報告の信頼性に係る内部統制は、・・・重要な事項に虚偽記載が生じることのないよう、体制を整備し、運用することにより・・・信頼性を支援する」とあります(実施基準Ⅰ1.(2))

この体制の整備のうち、「業務プロセスにおける内部統制については、・・・次のような手順で・・・整備状況を把握し、記録・保存する。
a。重要な各業務プロセスについて、取引の流れ、会計処理の過程を、必要に応じ図や表を活用して理解し、整理する。
b.これらの各業務プロセスについて虚偽記載の発生するリスクを識別し、それらのリスクが・・・業務の中に組み込まれた内部統制によって、十分に低減できるものになっているか・・・検討する」(実施基準Ⅰ.5.(2))

とあります。

Posted by: ソックス担当 | 2008.01.10 09:45

さて、ここで
懸案の売上集計です。

業務プロセスであり、重要な科目である点は議論の余地がありません。

私の主張は
”売上集計は、内部統制の客体か?主体か?
目的により答えは分岐する”
ということです。

上記の通り
「重要な各業務プロセスについて、虚偽記載の発生するリスクを識別し、それらのリスクが業務の中に組み込まれた内部統制によって、十分に低減できるものになっているか検討する」
ということですが、これを要約すると

”プロセスが持つリスクを内部統制が低減できるか?”

ということです。


そして”会計処理の過程”=”業務プロセス”なわけですから(上記a)

会計処理の過程が持つリスクを内部統制が低減できるか?

ということになります。

Posted by: ソックス担当 | 2008.01.10 09:54

長々と書きましたが、

取引の流れ、基本となる(幹となる)会計処理の過程は(情報であるものの)業務プロセスであり、内部統制の目的物(?)というか客体である。

その信頼性を担保するための”仕組み”が内部統制の主体である。


ということだと考えます。

Posted by: ソックス担当 | 2008.01.10 10:01

ソックス担当者さん、コメントありがとうございます。つまらない議論に着き合わせてしまい申し訳ないです。。。

ソックス担当者さんの言いたいことは、すごーく分かるんです。。。

でも、論理の整理の仕方によっては、売上集計(財務諸表に売上を計上するために日々の売上を集計)する行為は「情報と伝達」のようにも見えてきます。。。

これでは、有効性評価のための基準の中に矛盾が生じていることになってしまいますよね。。。

Posted by: 丸山満彦 | 2008.01.10 11:15

丸山先生
いつも偉そうな書き方ですいません。
僕含め全国のソックス関係者が先入観から根本的な勘違いをしている可能性もあります。
(Q&AのQ18にような)

ご指摘の点は
繰り返しになりますが

「AはB群の要素から構成される」
しかし
「B群の全ての要素がAを構成するとは言えない」
という理解でいます。


Posted by: ソックス担当 | 2008.01.10 11:36

皆様のコメントを拝見させて頂くと、非常に勉強になります。自分の頭の中を整理する良い機会です。

自分のコメント通り、「売上集計 = 情報伝達」の立場から議論を組み立てて見ます。

売上集計という業務プロセスの内部統制評価は、次のように言うことができるのではないでしょうか?

"経営者は、売上集計という「情報と伝達」が有効に機能しないリスクを評価する。そのリスクが高ければ、『統制活動』により、リスクを十分合理的な水準まで低減しなければならない。もし「情報と伝達」が有効に機能しないリスクが十分に低いのであれば、「統制活動」により、更なるリスク低減を無理に行う必要はない"

売上集計が適切に行われない場合、つまり「情報と伝達」が有効に機能しない場合、財務諸表の売上に関する虚偽表示へ繋がりうるわけですから、これは立派な(というのも変な言い方ですが)リスクです。

そのようなリスクがあれば、基本は業務の中に組み込まれた「統制活動」でもって対処すべし、というのが金融庁の基準の趣旨だと考えます。

議論が混乱する原因のひとつは、「内部統制」ということばの使い方だと思います。ソックス担当様も言及されておりますが、基準にある

「重要な各業務プロセスについて、虚偽記載の発生するリスクを識別し、それらのリスクが業務の中に組み込まれた内部統制によって、十分に低減できるものになっているか検討する」

という箇所では、文脈から考えると「内部統制 = 統制活動」になると思います。ここは素直に「統制活動」と表記すべきだったのでしょう。

Posted by: FN | 2008.01.10 12:44

FN様、はじめまして。

おっしゃる事ごもっとも、その通りだと思います。
書かれている事に対し異議はございません。

用語の曖昧さについてもその通りです。
IT統制に係る内部統制の枠組み(公開草案)Ⅲ-1.にある
”自動化された業務処理統制”の定義も広義と狭義があると解釈できます。

疲れますね(笑

Posted by: ソックス担当 | 2008.01.10 15:16

基準・実施基準の用語が曖昧なので
私は
リスクとコントロール

ITCLC
ITGC
ITAC
とか言ってます。
日本の基準だとIT全般統制=ITGC+ITCLCななので、全般統制と言っても何を指しているかわからない事が多いです。

ただ、CLCやGCと言ってもある種の方言なので、これまた理解してもらえない事もあり・・・

困ったものです。

Posted by: ソックス担当 | | 2008.01.10 15:26

ソックス担当様

コメント拝見しますと、考えておられることは本質的に私と大きな違いはありませんね。それでも、表現の仕方がこれだけ異なってくるのは、用語・概念がいかに曖昧か良く分かります。

各種資料で用語が異なるのは、ある程度は仕方がない面もあるのでしょうが、IT関係は苦手意識を持つ人が多いので、もっと統一して欲しいですね。各種資料を読むたびに、いちいち用語の意味するところのズレを意識しなければいけないので、本当に疲れます。

私の感覚ですが、ITCLCはあんまり一般的な表現でないような気がします。私どもの会計士の先生は、よく使っておられるようですが。

金融庁側はITの重要性を鑑みて、内部統制の構成要素としてITへの対応を追加したとのことですが、それがかえって実務現場での混乱を招いている気がしてなりません。

IT統制といえど、本来は統制活動にITを利用しているとうだけのことです。基準がITを重視した結果、ITとつけば何でもかんでも大騒ぎのような雰囲気ですが、かえって会社の業務におけるITの位置付けがわかりにくくなってしまってます。本来はそこまでやらなくても良いのでは?という過剰反応のケースも散見されますし。

話が脱線してしまいましたね。どうもすいません。

Posted by: FN | 2008.01.10 19:01

ソックス担当者さん、FNさん、コメントありがとうございます。

用語があいまいというのは非常に困るんですよね。。。確かに。。。


=====
内部統制の構成要素としてITへの対応を追加したとのことですが、それがかえって実務現場での混乱を招いている気がしてなりません。
=====
 というのはその通りかもしれませんね。もともとCOSOから変更するほどの重要性はなかったというのが私の印象です。
 作ったヒトの自己満足のように感じるのがどうにもやるせない感じなんですよね。。。

 で、あいまいな基準というのは、いざ法的な問題となった場合に非常に問題になると思うんですよね。。。

 今回の議論も、内部統制になるかならないのかが明確でない状況で法律問題になった場合にどうするのかと・・・

 まぁ、そういうところが問題意識です。。。

Posted by: 丸山満彦 | 2008.01.11 16:15

丸山先生
おはようございます。

>>法律問題になった場合にどうするのかと・・・

まったくもってそうですね。
金商法24の4の6では内部統制報告書の重要な事実の記載が欠けていることも株主に対する損害賠償の要件と定められています。

しかし、基準・実施基準等ではトップダウンリスクアプローチが明確に記載されています。
合理的保証のレベルは画一的ではないと演繹さるし、八田先生もそういう趣旨の発言をなさっています。

しかし実際に司法判断のレベルになったとき、いったいどんな判例が積上げられるのか・・・
監査法人が極度に保守的にならざるを得ないというのもわかる気がします。


Posted by: ソックス担当 | 2008.01.12 09:49

>監査法人が極度に保守的にならざるを得ないというのもわかる気がします

法的なことを考えれば、監査法人の対応も分からないではないと思いますが、一方で実務現場の状況を考えると、企業側としては納得いかない一面もあります。

たとえば、"文書化が不十分なので、評価ができない"というコメントです。企業の内部統制プロジェクト担当者の方であれば、一度はお聞きなったことがあると思います。

私が疑問に思うのは、今回、文書化がこれだけ話題になるということは、今まで内部統制評価(または監査)に用いるべき十分な文書が存在しなかったことを意味しているはずです。

それにもかかわらず、現在の財務諸表監査では、内部統制評価を行った上、試査を中心とする監査が前提となっています。監査基準には、リスクアプローチによる監査を実施すべきとあります。自社の監査報告書を読みますと、販売プロセスや購買プロセスで、内部統制評価を実施した旨、記載があります。

つまり、文書化が不十分な(あるいは文書がほとんど存在しないような)場合でも、内部統制評価を行っているのに、何ゆえ"文書化が不十分なので、評価ができない"、という発言がまかり通るのでしょうか?

これに対しては、評価者の立場からは、"今までとは要求される深度が違う"ということなのかもしれませんが、少なくとも内部統制の整備状況に関する理解・評価が不十分な場合、監査リスクを十分低減できていると本当に明言できるのでしょうか?

監査人に対して内部統制の運用状況評価を要求するという意味では、今までよりも内部統制評価の深度が増すとは思います。しかし、いわゆる整備状況評価に相当する部分で、従来と評価レベルが大きく変わるということであれば、今までの内部統制評価、ひいてはそれに依拠する財務諸表監査自体が何だったんだ、と思わざるを得ません。

決算財務報告プロセスであれば、今までの財務諸表監査でも、実証手続きがメインで、内部統制評価を行っていないでしょうから、この部分についてのみ、"文書化が不十分で評価できない"というのなら、まだ分かります。

しかし、販売・購買プロセスに関して、"文書化が不十分で評価できない"と言われても、筋が通ってるとは思えません。

こう考えると、監査法人(コンサルタントも含めてでしょうが)の過度な要求というのは、法的な面もさることながら、それ以外の思惑も含まれているのかな、と邪推してしまいます。

Posted by: FN | 2008.01.15 10:25

ソックス担当者、FNさん、コメントありがとうございます。。。

会計基準というのは、様々な会計処理が行われてきた歴史の中で公正妥当と思われるものが帰納抽出されてきたもので、歴史の積み重ねともいえるんですね。ところが、内部統制の基準というのはそういうものがないので、グレーゾーンが広い。だから保守的に対応してしまうという構造があるのではないかと思っています。

(もちろん、会計基準も(財)財務会計基準機構の企業会計基準委員会(ASBJ)が定めていますが、これが公正妥当な会計慣行であるとは言い切れないという不安定要素はありますが、それでも歴史の積み重ねがあるのでグレーゾーンは内部統制の基準に比べると狭いと考えています。。。)

制度の導入時期の一時的な問題かもしれませんが、過剰な反応というのは、避けて通れない道かもしれません。でも、やはりそれでもグレーゾーンが狭くなるような政策というのは必要なのだろうとは思います。。。

さて、
=====
文書化が不十分な(あるいは文書がほとんど存在しないような)場合でも、内部統制評価を行っているのに、何ゆえ"文書化が不十分なので、評価ができない"、という発言がまかり通るのでしょうか?
=====
というのは、確かに文書化が不十分であっても、監査人が内部統制の有効性の評価ができないとはいえないようにも思えますね。。。

この点は、ソックス担当者が以前
=====
僕含め全国のソックス関係者が先入観から根本的な勘違いをしている可能性もあります。
(Q&AのQ18にような)
=====
で指摘している通りかもしれません。。。
でも、ここもちょっとよく読むとへんな感じもしないわけではないのですが。。。

Posted by: 丸山満彦 | 2008.01.16 11:00

>確かに文書化が不十分であっても、監査人が内部統制の有効性の評価ができないとはいえないようにも思えますね

もし監査人が"文書化が不十分で内部統制の評価ができない"と主張するのであれば、日本に多数あるであろうと思われる文書化が不十分な企業において、どのような財務諸表監査を行っていたのか、ということが問題にならざるを得ないと思います。企業の内部統制に依拠できない以上、十分な実証手続きによる監査を行っていたのでしょうか?

実施基準Q&AのQ19から考えても、経営者は当然、監査人に提供するレベルの情報は入手できるわけですから、内部統制の評価は行えるはずです。Q19で想定しているレベルの情報は、財務諸表監査において監査人に提供をしているはずですから。

また、ご指摘の通りQ18は解釈が非常に難しい箇所ですね。ただでさえ分かりづらい話に、曖昧なQ&Aだと、実務現場の混乱にますます拍車がかかりそうです。

Posted by: FN | 2008.01.17 10:41

FNさん
全く同感です。

基準・実施基準・監査保証委員会82号(つまり内閣府令で言う公正妥当な内部統制の基準)では
いわゆる3点セット(実施基準Ⅱ3.(7)の保存義務文書)
はあくまで監査人がプロセスを理解するためのもので、監査証拠の一つでしかないと言う趣旨の記載が繰り返し出てきます。
監査人は現場でのヒアリングやウォークスルーの実施により判断すると明記されています。

文書は内部統制というプロセスを表象したに過ぎず、文書自体が監査の対象ではない。
監査対象は内部統制であり、それを表象した文章は直接的には監査な対象ではないとの理解でいます。

文書化が不十分であれば自ら現場に赴き実態を理解すればいいと思います(実施基準や82号等にそう書いてある)

QA18の解釈もこういう理解でいます。


Posted by: ソックス担当 | 2008.01.17 10:52

一つ訂正です。

>実施基準Q&AのQ19から考えても

これはQ19ではなく、Q9でした。申し訳ありません。訂正いたします。念のため補足しますと、回答の(2)を念頭においてます。

ソックス担当様コメントの

>文書化が不十分であれば自ら現場に赴き実態を理解すればいいと思います(実施基準や82号等にそう書いてある)

についてですが、もっとこういう理解が広まって欲しいと痛切に思います。内部統制の本質は人であり、書式やマニュアルではないのですから(COSOレポートにて明言されております)。

そうはいっても、適度な文書化は経営管理上、好ましいものであるため、そこまで否定するわけでありません。

Posted by: FN | 2008.01.17 12:51

FNさん、ソックス担当者さん、コメントありがとうございます。。。

=====
>文書化が不十分であれば自ら現場に赴き実態を理解すればいいと思います(実施基準や82号等にそう書いてある)
=====
その通りで、文書化3点セットが当然に必要だなんて誰も言っていないのにいつの間にかに作ることが常識となってしまった感じがします。文書化3点セットが広まったのは監査法人が悪いのだろうと想像しています。。。(という私も監査法人に勤務していますが。。。)
 業務記述書やフローチャートは内部統制を識別するために作成するものなので極論すればいらないわけですよね。。。業務フローが単純な場合は、経営者(又は管理職)は重要な統制活動は、この4つってわかるわけで。。。
 内部統制の運用の記録は必要ですけど、フローチャートは経営者評価のためには必要とは限らないわけですよね。。。ということであれば、監査人の監査のためにわざわざそろえる必要性もない場合も多いでしょうね。。。

 

Posted by: 丸山満彦 | 2008.01.18 17:21

>監査人の監査のためにわざわざそろえる必要性もない場合も多いでしょうね

丸山先生のおっしゃる通りだと思います。私もそのように考え簡略な文書化を進めておりますが、案の定、監査法人からは"もっと詳細に"、あるいは"文書化が簡略すぎて評価できない"、などの指摘を受けました。今までの書き込み通り、私自身はそういった指摘の大部分は合理性がないと判断しているのですが、やはり私のような意見は少数派のようです。

監査法人の過度に保守的な対応も問題ですが、一方で対応する企業側にも大きな問題があります。内部統制報告制度の趣旨も理解せず、監査法人の過度な要求を安易に受け入れ(もちろん、監査法人の正当な要求は企業側としても受け入れるのが当然です)、単純に文書化に励む企業の姿勢も、本制度の趣旨を大きく歪めることにつながっています。

①監査法人の保守的な対応を抑制する、②企業が本制度の趣旨を適切に理解することを促進する、という少なくとも2つの点を制度設計あるいは制度の運用に組み込めていない以上、アメリカの二の舞を避けるという制度導入当初の意図はうまくいっていない、というのが私の感想です。はっきり言って、アメリカの事例を踏まえているのにも関わらず、十分な制度設計が行えていないと言わざるを得ません。制度の趣旨は素晴らしいものであるだけに、非常に残念です。

21日の内部統制研究学会シンポジウムでは、こういった実務現場での状況が本来の制度目的を阻害している点についても、活発な議論が行われて欲しいと思います。私も参加しますが、多分聴衆からの質問を受け付ける時間は少ないでしょうから、パネリストの方がこういった議論を行うことを期待したいところです。

Posted by: FN | 2008.01.19 00:33

FNさん、コメントありがとうございます。。。

その監査法人が私の所属している監査法人だとまずいのですが、
=====
案の定、監査法人からは"もっと詳細に"、あるいは"文書化が簡略すぎて評価できない"、などの指摘を受けました。
=====
ということが本当であれば、
=====
私はバカだからわかんな~い。バカにもわかるように書いてくれなきゃこまっちゃーう。。。
=====
といっているようにも感じますね。。。
本当のところはどうなのかわからないのでなんともいえませんが。。。

それと。。。
=====
こういった実務現場での状況が本来の制度目的を阻害している点についても、活発な議論が行われて欲しいと思います。私も参加しますが、多分聴衆からの質問を受け付ける時間は少ないでしょうから、パネリストの方がこういった議論を行うことを期待したいところです。
=====
しかし、パネリストのメンバーになるような人って現場を知らないので・・・

Posted by: 丸山満彦 | 2008.01.19 01:21

丸山先生、コメントありがとうございます。

>その監査法人が私の所属している監査法人だとまずいのですが

大手監査法人ですが、丸山先生とは別の監査法人だと思います。

>案の定、監査法人からは"もっと詳細に"、あるいは"文書化が簡略すぎて評価できない"、などの指摘を受けました。
=====
ということが本当であれば

我々の会社は何度も言われております。他社でも同様な事例はたくさんあることと推測します。

>本当のところはどうなのかわからないのでなんともいえませんが

確かにその監査法人の先生が、本当は何を考えて「文書化が簡単すぎて評価できない」とおっしゃっているのか分かりかねるところではあります。

監査法人としての対応方針もあることでしょうから、それとの関係で発言しているのかもしれません。ただ、そうは言ってもプロの会計士の先生なのですから、もっと専門家らしく専門家としての知見に基づいた論理的なコメントをして頂きたいものです。素人が考えてもおかしいと思うようなコメントをして平然としているのは、大変失礼ながら、専門家としていかがなものか、と思わざるを得ません。

>しかし、パネリストのメンバーになるような人って現場を知らないので

実際はそうなのでしょうね。しかし会計や監査の世界は実学ですから、パネリストの方々には是非とも実務現場を知って頂きたいと思います。

Posted by: FN | 2008.01.20 02:25

FNさん、コメントありがとうございます。
=====
そうは言ってもプロの会計士の先生なのですから、もっと専門家らしく専門家としての知見に基づいた論理的なコメントをして頂きたいものです。素人が考えてもおかしいと思うようなコメントをして平然としているのは、大変失礼ながら、専門家としていかがなものか、と思わざるを得ません。
=====
すみません。

公認会計士という資格を持つ者のコアとなる専門性ですが、会計+監査の専門家ということだと思います。しかし、従来は名前が示すとおり、会計の専門家という色が強かったと思います。財務諸表監査においても、内部統制の評価をするよりも、最後の実証的な検証に非常に重点を置いた監査をしていた場合も多かったかもしれません。そういう意味で、財務諸表監査における監査意見形成論についての理解が不十分で、内部統制の評価を十分に理解していない公認会計士がいるのかもしれません。
 もし、監査の意見形成論や内部統制の評価についての専門的な知識が不十分な公認会計士が存在している場合で、内部統制評価についての専門的な知識が高い人が会社側にいる場合には、「専門家の逆転現象」というような状況が生まれるかもしれません。
 このような問題は時間とともに知見を社会で蓄えていきながら解決していかなければならない部分もあるように思います。まさに、歴史の中のその瞬間にいる人から見るとそれは迷惑な話であるかもしれませんが、公正妥当な会計原則が社会的に形成されていった過程と同じような過程を経る必要があるかもしれません。
 制度設計についても、学者が中心となって議論をひっぱていくとどうしても現実に合わないという状況が生じやすいと思います。FNさんがコメントしているとおり、会計や監査の世界は実学ですからが、実務現場と論理的な世界との間のキャッチボールが必要になります。学者の多くは、現場を知らず、現場の会計士の人の多くが現場を重視し監査理論を軽視しているような状況で、役所がその調整をする能力がなければ、制度設計がうまくいかない可能性が高いのかもしれません。
 このような状況を打破するためには、受身になりがちな国民が声を上げて、批評と改善案を提言していくことが重要となるのではないかと思っています。
 そういう意味では、研究会に出席できるFNさんは、ぜひとも会合の中、会合が終わった後でも直接パネリストの方に声をかけて課題と改善案などを提言されてみてはいかがかと思います。役所としての発言はともかく、役所の方は心の中では制度をなんとかうまくやっていきたいと思っている人が多いと思いますので、FNさんの意見を傾聴されるのではないかと思います。
 

Posted by: 丸山満彦 | 2008.01.20 14:53

丸山先生、詳細なコメントありがとうございます。

>そうは言ってもプロの会計士の先生なのですから、もっと専門家らしく専門家としての知見に基づいた論理的なコメントをして頂きたいものです。素人が考えてもおかしいと思うようなコメントをして平然としているのは、大変失礼ながら、専門家としていかがなものか、と思わざるを得ません。

上のコメントですが、誤解を招くような書き方で申し訳ありません。あくまでも我々の会社を担当しておられる監査法人に対して、普段思っていることを書いております。丸山先生に対する直接の意見ではございません。表現が舌足らずで大変申し訳ありません。深く謝罪いたします。

ちなみに私個人としては、

>私はバカだからわかんな~い。バカにもわかるように書いてくれなきゃこまっちゃーう。。。

というような表現は結構(というか、かなり)好きなのですが、自分でそういった物言いをしようとすると、面白くもないただの毒舌になってしまうようなので(知人に指摘を受けたことがあります)、自らは使わないようにしています。

>財務諸表監査における監査意見形成論についての理解が不十分で、内部統制の評価を十分に理解していない公認会計士がいるのかもしれません

私自身は、内部統制プロジェクトに関わりだしてから(財務諸表)監査論を学んでおり、監査に対する自分の理解の仕方は、監査論の教科書通り、内部統制評価を前提としたリスク・アプローチの監査という理解となっております。素人考えでは、監査法人の方々はリスク・アプローチの監査について十分な理解を持っているものと考えていたのですが、実態はそうでもないのかもしれない、ということなのでしょうか。

>実務現場と論理的な世界との間のキャッチボールが必要

日本はこういう感覚が非常に弱いと思います。理論家は実務の現場を、実務家は理論をもっと学ぶ必要があります。実践するのは難しいことですが、自分で常に心がけていることでもあります。ただ、企業の中で理論的なことを勉強していると、すぐに「あいつは理屈っぽい」と言われてしまうのが実態ですが、それは誉め言葉として受け取ることにしています。

>会合の中、会合が終わった後でも直接パネリストの方に声をかけて課題と改善案などを提言されてみてはいかがかと思います

本来の理念と乖離した実務現場の実態を何とか伝えたいというのが、出席する目的の半分を占めています(残り半分は純然たる学習目的です)。こういう機会でもないと、なかなか現場の声を届ける場がないと思っていますので。

>役所の方は心の中では制度をなんとかうまくやっていきたいと思っている人が多いと思います

金融庁の方が雑誌等に書いておられるものを読みますと、それは常に感じます。最近も、金融庁の方が内部統制報告制度に関する解説本を出しておられますので、そういった事実からも、彼らが実務現場の状況を気にかけている様子が窺えます。

Posted by: FN | 2008.01.21 01:24

FNさん、コメントありがとうございます。
遅くなりました。。。

日本内部統制研究学会主催 第1回公開シンポジウムはどうでしたでしょうか?

さて、
=====
監査法人の方々はリスク・アプローチの監査について十分な理解を持っているものと考えていたのですが、実態はそうでもないのかもしれない、ということなのでしょうか。
=====
個人差が大きいのだろうと思っています。

今回の制度導入に伴う混乱ですが、制度設計の不備による部分もあるかと思いますので、それを明確にして、制度設計の改善が必要と思いますね。。。

Posted by: 丸山満彦 | 2008.01.23 13:46

丸山先生

学会シンポジウムですが、話の内容は面白いものが多かったと思います。特に金融庁の三井課長の話は、基本的に金融庁としての公式見解の繰り返しではありますが、話の中で明確に「文書化なしでも内部統制の評価は可能という考えで、基準や実施基準は策定している」という趣旨のコメントがありました。改めて、自分の解釈は金融庁のスタンスと大きなズレはないと感じました。

既に他のブログ等でも紹介はされているかと思いますが、八田教授が討論中、「金融庁の公式見解と監査法人の現場対応に大きな差があるようだが」という質問を投げかけました。これに対して、金融庁の三井課長とJICPAの藤沼前会長のコメントはありましたが、あまり本質的なものではありませんでした。三井課長は、公式見解を繰り返し述べただけですし、藤沼前会長は、監査法人としてある程度の文書化を要求したくなる理由を間接的に述べているように思われましたが、それがなぜ必要なのか、会計士としての立場を十分に説明するものではないという印象です。

結局この問題については、一つの案ですが金融庁-JICPAのラインで監査法人に対し、以下のような内容を含む通達を出すことかと思います。

「企業によるいわゆる3点セットと呼ばれる文書の文書化における記載レベル自体が、監査人の内部統制監査に大きな影響を及ばすといったような印象を与えるかの如き発言は、内部統制報告制度の趣旨および委員会報告第82号(実務上の取扱い)等の記載を考慮し、合理的な理由が存在しない限り、監査人としてこれを行ってはならない」

このような通達を出すことにより、①制度制定者の意図を企業・監査人双方にある程度明確にする、②企業側が監査人の不当な(文書化)要求に対処するための(追加的な)明文的根拠を提供する、といった効果がある程度見込めるかと思います。

実務現場での混乱に対する対応については、明確になかったものの、その他の発言は、色々と考えさせるものもありました。例えば藤沼前会長の発言で、「日本企業のほとんどは、重要な欠陥を抱えているのではないか」といった趣旨のものがありました。これについては、多くの企業がいわゆる文書化の対象としている以外の部分で、実は重要な欠陥を抱えているはずだ、という意味だと理解しました。少なくとも我々の会社では改めて検討すべき事項であるはずだ、という形で発言を受け止めております。

総じて、シンポジウムそのものは考えさせる話も多く、その意味で有用だったと考えております。ただ、金融庁の三井課長と話をする機会は、残念ながら持つことが出来ませんでした。その代わり無駄かもしれませんが、一度金融庁に対しては意見具申を行ってみようかとも考えております。

学会の皆様には、実務現場の声を収集しながら新たな指針策定といった作業を推進して頂きたいと痛切に思います。やはり、理論的な話は分かっても、実務レベルに落とし込むのには難しさがあります。企業・監査人等の実務家を多数交えたラウンドテーブルのような企画を行って頂ければ、よりよい制度設計の一助になるのだろうなと思った次第です。

Posted by: FN | 2008.01.24 00:27

FNさん
おはようございます。

シンポジウム行かれたのですね。
弊社は地方の中堅会社ですので行けませんでした。

それにしても、理解力・文章表現力、FNさんの資質には脱帽です。

実施基準等を何度読んでも所謂3点セット(S監査法人は4点セット)は必須でない、監査対象ではない、としか理解できないので、僕はまだ合計12枚しか書いていません(弊社は3月決算ではないというのもありますが・・・(笑))
当初文書化のシステムの導入(1,000万くらい)も検討しましたが、見送り、エクセルで書いてます。
GCも非有効で行く予定ですのでSOX対応のIT投資はしない方針です。
外資系コンサルのプレゼンも受けましたが,ずれてると判断しました。

そんな事よりCLCの部分や、リスクが高いと自社で認識している部分で分科会を毎月開催して対応を進めています。
同規模の他社さんは億単位の予算を組んでるらしいですが、弊社は100万も使ってないですね(笑)


そんな進め方が間違ってなかったと ほっと胸をなでおろしてます。

Posted by: ソックス担当 | 2008.01.26 09:59

FNさん、ソックス担当さん、コメントありがとうございます。。。

学会シンポジウムは出張のためにいけませんでした。残念。。。

文書化3点セットについては昔私も書いていましたね。。。
・2006.12.28 業務プロセスの文書化の目的
=====
こんにちは、丸山満彦です。業務プロセスに係る内部統制の評価を行うための準備として業務プロセスを記述し、内部統制を識別することは有益ですが、目的を見失うと非効率な作業になってしまいますね。。。なんか、米国の例を日本の企業がまねてすると適用初年度の多くの米国と同じように必ずしも必要ではない作業までしてしまうかもしれませんね。

 
 業務プロセスを理解し、業務プロセスに組み込まれている内部統制を識別することは重要で、これをせずに業務プロセスに係る内部統制の評価をすることはできません。
 しかし、業務プロセスを取引の開始から終了まで細かく分析する必要はないんですよね。。。文書化をする目的は、あくまでも評価のために必要な業務プロセスに係る内部統制を決めることですから。。。

 業務プロセスの見える化は業務の効率性、有効性を高めるためには有益な方法だと思うのですが、財務報告に係る内部統制の評価をするためには必ずしも詳細な見える化は必要ないです。

 勘定科目毎のアサーションを立証するために必要な統制上の要点を決めることができればOKです。全ての統制活動を識別する必要もないし、すべての業務プロセスを作業レベルで記述する必要もないですね。。。
=====

3点セットの問題は、要は「統制上の要点」が識別できればよいのであって、必ずしも業務記述書やフローチャートが必要ではないですよね。。。

こっそりいいますと「スタンプラリー方式」というのを提案しています。

この「スタンプラリー方式」というのは、実際にSOXの会社で行われていた方法なのですが、会社で先に統制上の要点を決めてしまうわけです。。。
 業務プロセスが予め定めた統制上の要点を含んでいるかどうかを、チェックしていくわけです。
 これであれば、詳細な文書化は必要ありません。。。
 実際は、もう少し枝葉の作業が発生するのですが、幹を取り出すと上記のような方法になります。

 多くの企業で行っていると思われる「ローラー作戦」で統制活動を識別し、どれが「統制上の要点」であるかを決めていく方法にくらべて圧倒的に効率的です。。。

Posted by: 丸山満彦 | 2008.01.26 16:45


>会社で先に統制上の要点を決めてしまうわけです。。。

トップダウン・リスクベースアプローチは、経営者が認識したリスクの重大さに応じたコントロールを整備運用しなさいということですから、真っ先にリスクに応じた統制要点を決めるというのが、本来のあり方ですね。

つまり、名称は何であれこの「スタンプラリー」が制度が期待しているアプローチで、「ローラー作戦」はやりすぎということになります。

換言すれば、手続のチェックリストアプローチではなく、統制要点(自前)のチェックリストアプローチで、「決算⇒特定リスク⇒2/3拠点」という順番で見ていけばいいわけですね。

これは会計監査のリスクアプローチと基本的には同じですね。

Posted by: 閑人 | 2008.01.26 17:42

ソックス担当様

>そんな進め方が間違ってなかったと ほっと胸をなでおろしてます

そういった対応が取れるとは、うらやましい限りです。我々の場合、割と早いうちからの対応でしたので、外資系コンサルを使い、いわゆる重装備型の対応に近くなってますが、極力無駄な作業を避けるべく実務現場で努力をしているところではあります。

基準や実施基準といった公開資料をきちんと読み込むことなしに、単に外部のコンサルに頼ろうとすると、ろくなことになりません。しかし、読み込むべき基準・実施基準が非常に分かりづらいというのが、困ったことではあります。あの基準・実施基準をきちんと理解するには、会計・監査・内部監査の基礎知識が必須だと個人的には考えています。少なくとも私自身は、この3分野をきちんとおさえて基準・実施基準を読んだら、かなり読み解きやすくなったと思っています。

丸山先生コメントの

>多くの企業で行っていると思われる「ローラー作戦」

ですが、これが監査法人・コンサルの推奨方式であるケースは多いでしょう。私自身も、「業務プロセスをフローチャートに網羅的に」ですとか、「リスクの抽出を網羅的に」と言われましたし。

結局、閑人様ご指摘の

>トップダウン・リスクベースアプローチは、経営者が認識したリスクの重大さに応じたコントロールを整備運用しなさいということですから、真っ先にリスクに応じた統制要点を決めるというのが、本来のあり方ですね

という理解が経営者に徹底されていると問題はないのでしょうが、多くの場合、現実はさにあらず、ということですね。

Posted by: FN | 2008.01.27 23:09

FNさん、コメントありがとうございます。重要性のない業務プロセスはそもそも内部統制の不備があったとしても、重要な欠陥に結びつかないし、重要性のない統制活動を識別しても、それに不備があったとしてもその内部統制を補完、代替するほかの内部統制があれば、重要な欠陥に結びつかないわけですから、そもそも評価する意味がないんですよね。。。

>「業務プロセスをフローチャートに網羅的に」
って言われたら、どうしてですか???って言うことにしましょう。。。

ちなみに、この「ローラー作戦」は米国では2000年問題のときも行われたんですよね。。。

Posted by: 丸山満彦 | 2008.01.28 04:04

>>「業務プロセスをフローチャートに網羅的に」
って言われたら、どうしてですか???って言うことにしましょう。。。

こういったことを簡単に言える企業が多ければ、この内部統制報告制度に関する混乱も度合いが違ったのでしょうね。

おそらくご存知のこととは思いますが、某大手監査法人は文書化マニュアルとタイトルのついた分厚い書籍を出版しております。もしこの書籍通りにやれば、確かに重厚長大な「ローラー作戦」になってしまうだろうな、という気はします。

Posted by: FN | 2008.02.02 01:23

FNさん、コメントありがとうございます。
かつて、監査も細かくチェックするのではなく、重要な不正や誤謬がないことを確実にするために、リスクアプローチを採用して、有効かつ効率的な監査を目指したのですけどね。。。昔のやり方にもどってしまったのでしょうかね。。。

Posted by: 丸山満彦 | 2008.02.02 11:37

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 問題です! 手作業であっても売上高を集計することは内部統制?:

» 内部統制は会計手続きの問題だけか? [中老SE岡野@神戸]
わが社でも「内部統制」に向けて社内体制を整えているが、昨年の企業の不祥事を振り返ると様々な疑問を感じるのです。 「内部統制」にかんするさまざまなルールが決められ... [Read More]

Tracked on 2008.01.06 12:10

« テクノロジー新世紀特集 | Main | 日本内部統制研究学会のウェブページ »